Aviso de seguridad sobre múltiples vulnerabilidades en Tapo C260, D235 y C520WS (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653)
7606 Descripción de las vulnerabilidades e impactos:
CVE-2026-0651: Vulnerabilidad de path traversal en Tapo D235, C260 y C520WS mediante normalización incorrecta y orden de decodificación de URL
Se ha identificado una vulnerabilidad de path traversal en TP-Link Tapo C260 v1, D235 v1 y C520WS v2.6 en el manejo de solicitudes GET por parte del servidor HTTP. El servidor realiza la normalización de rutas antes de decodificar completamente la entrada codificada en URL y recurre al uso de la ruta sin procesar cuando la normalización falla. Un atacante puede aprovechar este fallo lógico suministrando secuencias de traversal codificadas en URL y manipuladas que eluden las restricciones de directorio y permiten el acceso a archivos fuera de la raíz web prevista.
Una explotación exitosa puede permitir a atacantes autenticados obtener divulgación de archivos de sistema sensibles y credenciales, mientras que atacantes no autenticados pueden acceder a recursos estáticos no sensibles.
Puntuación CVSS v4.0: 6,9 / Media
CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N
CVE-2026-0652: Ejecución remota de código por usuario invitado
En TP-Link Tapo C260 v1, existe una vulnerabilidad de inyección de comandos debido a una saneamiento incorrecto en determinados parámetros POST durante la sincronización de configuración. Un atacante autenticado puede ejecutar comandos arbitrarios del sistema con un alto impacto en la confidencialidad, integridad y disponibilidad. Puede provocar el compromiso total del dispositivo.
Puntuación CVSS v4.0: 8,7 / Alta
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
CVE-2026-0653: Control de acceso inseguro
En TP-Link Tapo C260 v1 y D235 v1, un usuario autenticado con nivel de invitado puede eludir las restricciones de acceso previstas enviando solicitudes manipuladas a un endpoint de sincronización. Esto permite la modificación de configuraciones protegidas del dispositivo a pesar de tener privilegios limitados. Un atacante puede modificar parámetros de configuración sensibles sin autorización, resultando en una manipulación no autorizada del estado del dispositivo, aunque sin ejecución completa de código.
Puntuación CVSS v4.0: 7,2 / Alta
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N
Productos y versiones afectados y correcciones:
|
Modelo de producto afectado |
Vulnerabilidades relacionadas |
Versión afectada |
|
Tapo C260 v1 |
CVE-2026-0651 CVE-2026-0652 CVE-2026-0653 |
< 1.1.9 Build 251226 Rel.55870n |
|
Tapo D235 v1 |
CVE-2026-0651 CVE-2026-0653 |
< 1.2.2 Build 260210 Rel.27165n |
|
Tapo C520WS v2.6 |
CVE-2026-0651 |
< 1.2.4 Build 260326 Rel.24666n |
Recomendaciones:
Recomendamos encarecidamente a los usuarios con dispositivos afectados que adopten las siguientes medidas:
- Siga las instrucciones para actualizar a la versión de firmware más reciente y corregir las vulnerabilidades:
US: https://www.tp-link.com/us/support/download/tapo-c260/v1/
https://www.tp-link.com/us/support/download/tapo-c520ws/
EN: https://www.tp-link.com/en/support/download/tapo-c260/v1/
https://www.tp-link.com/en/support/download/tapo-d235/
https://www.tp-link.com/en/support/download/tapo-c520ws/
Nota: El Tapo D235 no se comercializa en EE. UU.
Agradecimientos
Agradecemos a spaceraccoon haber comunicado estos problemas de forma responsable.
Aviso legal:
Si no adopta todas las medidas recomendadas, esta vulnerabilidad persistirá. TP-Link no se hace responsable de las consecuencias que podrían haberse evitado siguiendo este aviso de seguridad.
¿Es útil este artículo?
Tus comentarios nos ayudan a mejorar esta web.